《认定方法》

近期案例及评析

1.没有隐私政策、用户协议，或者隐私政策、用户协议中没有相关收集使用规则的内容；

2.在App安装、使用等过程中均未通过弹窗、链接等方式提示用户阅读隐私政策，或隐私政策链接无效、文本无法正常显示；

3.进入App主功能界面后，多于4次点击、滑动才能访问到隐私政策；

4.其他违反公开收集使用规则要求的情形。

1.在App中没有隐私政策，或者隐私政策中没有收集使用个人信息规则；

2.在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则；

3.隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次点击等操作才能访问到；

4.隐私政策等收集使用规则难以阅读，如文字过小过密、颜色过淡、模糊不清，或未提供简体中文版等。

明确收集个人信息的规则需要体现在隐私政策中，对于App提出了明确需要具备隐私政策，并且强调了首次运行需明显提示用户阅读的要求，最后对于难以阅读的障碍也做出了规定，认定模糊和难以理解也构成“未公开收集使用规则”。

1.**课堂、**贷等App中无法找到隐私政策。

2.**语音等App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策；采用将字体缩小，颜色变浅且放置在页面最底端的方式展示隐私政策链接。

3.*聘等App进入主界面后，多于 4 次点击等操作才能访问到隐私政策。

4.*聊等App隐私政策难以阅读：文字显示过小、过密；隐私政策中存在较多错别字或者歧义句；文字无自动换行。

《认定方法》

近期案例及评析

1.收集使用信息的目的违反合法、正当、必要原则，如仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息；

2.没有逐一列出收集个人信息的类型、频率，特别是针对个人敏感信息；

3.收集使用个人信息的目的、方式和范围发生变化，未以适当方式通知用户，适当方式包括更新隐私政策并提醒用户重新阅读授权等；

4.在申请可收集个人信息的权限时，未告知收集使用的目的，如在申请调阅通讯录时没有说明原因；

5.每次要求用户提供个人敏感信息时，如身份证号、银行卡号等，未同步实时说明原因；

6.有关收集使用规则的内容晦涩难懂、冗长繁琐；

7.其他没有明示收集使用个人信息的目的、方式和范围的情形。

1.未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等；

2.收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；

3.在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时，未同步告知用户其目的，或者目的不明确、难以理解；

4.有关收集使用规则的内容晦涩难懂、冗长繁琐，用户难以理解，如使用大量专业术语等。

此处新增了委托或嵌入的第三方收集使用个人信息的明示规定，旨在打击第三方在App上进行隐秘收集的情况；App申请打开权限或者收集个人敏感信息时应同步告知目的，并且额外强调应让用户理解。

1.*家等App未逐一列出嵌入的百度地图、个信互动、微博等第三方SDK收集使用个人信息的目的、类型，该等SDK包括地图类、广告类、统计类等。

2.*聊更新后新增了定制化课单功能，将收集用户的课程记录，但未以任何方式告知用户。

3.**学等App在申请打开电话、存储、日历等可收集个人信息的权限，以及收集用户身份证号、银行账号等个人敏感信息时，未同步告知用户其目的。

4.**信用卡优惠等App规则晦涩难懂。

《认定方法》

近期案例及评析

1.未经同意就开始收集个人信息，如App首次运行、提示用户阅读隐私政策前就开始收集个人信息；

2.用户明确拒绝后，仍收集个人信息，如用户不同意被收集地理位置信息时仍然收集；

3.实际收集使用的个人信息超出用户授权的范围；

4.利用用户信息和算法定向推送新闻、广告等，未提供终止定向推送的选项；

5.未经用户同意，私自调用可收集用户个人信息权限；

6.在未打开或使用App时，App后台调用用户个人信息；

7.未经用户同意私自更改用户设置的权限，包括App更新时将用户设置的权限恢复到默认状态；

8.用户明确拒绝App收集个人信息请求，App仍频繁征求用户同意，干扰用户正常使用；

9.违背与用户约定，不按隐私政策中的收集使用规则收集使用个人信息；

10.其他未经同意收集使用个人信息的情形。

1.征得用户同意前就开始收集个人信息或打开可收集个人信息的权限；

2.用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权限，或频繁征求用户同意、干扰用户正常使用；

3.实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

4.以默认选择同意隐私政策等非明示方式征求用户同意；

5.未经用户同意更改其设置的可收集个人信息权限状态，如App更新时自动将用户设置的权限恢复到默认状态；

6.利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项；

7.以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；

8.未向用户提供撤回同意收集个人信息的途径、方式；

9.违反其所声明的收集使用规则，收集使用个人信息。

对于未经用户同意提出了更明确的界定：征得同意前即收集、拒绝后仍收集或打扰、超范围收集、默示同意、未经同意更改设置、欺诈与诱骗、违反承诺， 均要求用户的同意为真实的意思表示，对于同意的实质和形式是否满足均有反向的规定进行明确，并且在原有的定向推送退出机制的基础上增加了提供撤回同意的途径的要求，充分保障用户的自主选择。

1.*来了等App征得用户同意前就开始收集设备MAC地址等个人信息。

2.*家等App在用户明确表示不同意打开位置权限后，仍频繁征求用户同意，干扰用户正常使用。

4.**贷款导航等App以默认选择同意隐私政策的非明示方式征求用户同意。

《认定方法》

近期案例及评析

1.实际收集的个人信息类型与现有业务功能无关，无关是指该类信息并非实现现有业务功能所必需；

2.在用户使用业务功能时，收集个人信息的频率等超出所使用的业务功能需要；

3.捆绑多项业务功能一揽子征求用户同意，不同意则不提供任何单一服务；

4.当用户拒绝某一业务功能收集个人信息的请求时，App停止提供其他业务功能；

5.如提供未经注册即可使用（如支持浏览、游客模式）的业务功能，用户若不同意收集此类业务功能所需以外的个人信息，App拒绝提供所有服务；

6.新增业务功能时，需收集的个人信息超出原有同意范围，如用户不同意收集，则拒绝提供原有业务功能，新增业务功能将取代原有业务功能的除外；

7.申请打开可收集无关信息的权限；

8.其他收集与其提供的服务无关的个人信息的情形。

1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关；

2.因用户不同意收集非必要个人信息或打开非必要权限，拒绝提供业务功能；

3.App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除外；

4.收集个人信息的频度等超出业务功能实际需要；

5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，强制要求用户同意收集个人信息；

6.要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无法使用。

此处较之《征求意见稿》的打击捆绑收集的基础强调了必要性原则，打击的对象更为集中，恶性更为严重。

1.**贷款等App申请打开的位置权限与现有业务功能无关。

2.***贷款导航因用户不同意打开非必要的位置权限，拒绝提供所有业务功能。

4. **银行掌上生活等App收集设备IMEI号、IMSI号、地理位置等个人信息的频度超出业务功能实际需要。

5. *聘首次打开App时，强制要求用户输入月薪等非必要个人信息。

6. *点等App将targetSDKversion值设置小于23，要求用户一次性同意开启多个可收集个人信息的权限，用户不同意则无法使用。

《认定方法》

近期案例及评析

1.未经同意，且未做匿名化处理，从客户端直接向第三方提供个人信息，包括App客户端嵌入第三方代码、插件（如sdk）等方式向第三方提供；

2.数据传输至App服务器后，未经同意，且未经匿名化处理，向第三方提供其收集的个人信息；

3.其他未经同意向他人提供个人信息的情形。

1.既未经用户同意，也未做匿名化处理，App客户端直接向第三方提供个人信息，包括通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息；

2.既未经用户同意，也未做匿名化处理，数据传输至App后台服务器后，向第三方提供其收集的个人信息；

3.App接入第三方应用，未经用户同意，向第三方应用提供个人信息。

此处重点强调的仍为与第三方共享个人信息的要求：同意或匿名化处理。新增接入App接入第三方应用需用户同意方能提供个人信息的要求，平台类App应予注意。

1.**集等App均既未经用户同意，也未做匿名化处理，通过客户端嵌入的极光等SDK向第三方提供地理位置等个人信息。

《认定方法》

近期案例及评析

1.未提供更正、删除个人信息，注销用户账号的功能；

2.对于提供在线操作方式、客服电话、电子邮件等方式的，进行相关操作未响应的；

3.需人工处理的，受理后未在承诺时限内（无承诺时限的，以15个工作日为限）完成核查和处理的；

4.更正、删除或注销操作提示完成后，依然未能更正、删除个人信息，注销用户账号的；

5.其他未采取措施予以删除或者更正的情形。

1.未提供有效的更正、删除个人信息及注销用户账号功能；

2.为更正、删除个人信息或注销用户账号设置不必要或不合理条件；

3.虽提供了更正、删除个人信息及注销用户账号功能，但未及时响应用户相应操作，需人工处理的，未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）完成核查和处理；

4.更正、删除个人信息或注销用户账号等用户操作已执行完毕，但App后台并未完成的；

5.未建立并公布个人信息安全投诉、举报渠道，或未在承诺时限内（承诺时限不得超过15个工作日，无承诺时限的，以15个工作日为限）受理并处理的。

此处较之《征求意见稿》强调了实质性的要求，增加了“有效的”，要求“后台完成”，以及规定不得设置不合理不必要条件。

1.*聊等App未提供有效的注销用户账号功能：客服表示直接退出账号并卸载即可注销，但经测试采取前述操作后，账号并未注销。

2.***贷款导航等App为注销用户账号设置不合理条件：需提交身份证正反面照片、手持身份证照片等信息才允许注销。

5.**ce等App未提供有效的个人信息安全投诉、举报渠道：向提供的举报邮箱发送信息，系统退信称该邮箱不存在。